Primijećeni su hakeri kako postavljaju zlonamjerni softver pod nazivom NiceRAT kako bi kooptirali zaražene uređaje u botnet.
Napadi, koji ciljaju južnokorejske korisnike, osmišljeni su da propagiraju zlonamjerni softver pod krinkom krekovanog softvera, kao što je Microsoft Windows, ili alata koji navodno nude verifikaciju licence za Microsoft Office.
“Zbog prirode programa krekova, dijeljenje informacija među običnim korisnicima doprinosi distribuciji zlonamjernog softvera nezavisno od prvobitnog distributera”, rekao je AhnLab Security Intelligence Center (ASEC) .
“Budući da hakeri obično objašnjavaju načine uklanjanja anti-malware programa tokom faze distribucije, teško je otkriti distribuirani zlonamjerni softver.”
Alternativni vektori distribucije uključuju upotrebu botneta koji se sastoji od zombi računara koji su infiltrirani trojancem za daljinski pristup (RAT) poznat kao NanoCore RAT , odražavajući prethodnu aktivnost koja je koristila Nitol DDoS malver za propagiranje drugog zlonamjernog softvera nazvanog Amadey Bot .
NiceRAT je aktivno razvijeni open-source RAT i zlonamjerni softver za krađu napisan na Python-u koji koristi Discord Webhook za komandu i kontrolu (C2), omogućavajući hakerima da sifoniraju osjetljive informacije iz kompromitovanog hosta.
Prvi put objavljen 17. aprila 2024., trenutna verzija programa je 1.1.0. Dostupan je i kao premium verzija, prema njegovom developeru, što sugerira da se oglašava pod modelom malware-as-a-service (MaaS).
Razvoj dolazi usred povratka botnet -a za rudarenje kriptovalute koji se naziva Bondnet , koji je otkriven korištenjem rudarskih botova visokih performansi kao C2 servera od 2023. godine konfiguracijom obrnutog proxyja koristeći modificiranu verziju legitimnog alata pod nazivom Fast Reverse Proxy ( FRP ).
Izvor:The Hacker News